Vai al contenuto
Vai al menu di navigazione
Vai all'indice del modulo

L'importanza dell'identità in Internet e meccanismi di autenticazione

Certificati Digitali

I certificati digitali sono dei documenti elettronici, emessi da organizzazioni attendibili con lo scopo di garantire la validità della chiave pubblica associata ad una entità sia essa una persona, una azienda o un'organizzazione privata.  I certificati digitali svolgono una funzione di autenticazione dell'identità del possessore di una chiave pubblica, la quale è contenuta e viene scambiata proprio attraverso il certificato digitale.
I certificati digitali sono prodotti e firmati da speciali autorità garanti, chiamate Autorità di Certificazione o Certification Authority. Le Certification Authority (brevemente indicate con CA) sono delle organizzazioni la cui affidabilità può essere verificata da chiunque e che hanno delle regole molto severe per la sicurezza e l'integrità dei dati che trattano. I certificati digitali nascono quindi a supporto della crittografia a chiave asimmetrica per poter garantire, attraverso l'intervento  di un garante esterno (la CA) che il possessore di una data chiave pubblica sia realmente chi afferma di essere e che quindi i documenti da lui firmati sono autentici.

Importanza della CA e dei certificati digitali
Perché è necessario avere delle CA ed i certificati digitali? Perché non è sufficiente l'utilizzo delle due chiavi pubblica e privata per firmare i documenti?
Per rispondere a questi quesiti e comprendere meglio l'importanza del ruolo delle CA e dei certificati digitali come strumento a garanzia della sicurezza nello scambio di informazioni in Internet descriviamo il seguente scenario:
Immaginiamo che Alice abbia ricevuto un documento firmato da Bob e voglia verificare l'autenticità della sua firma digitale. Bob potrebbe affermare di aver realizzato lui il documento e di aver apposto la propria firma, ma questo sarebbe uno accordo di fiducia tra i due, non verificabile. Infatti Alice non può accertare che Bob gli abbia consegnato effettivamente la propria chiave pubblica: Bob potrebbe aver dato ad Alice un documento firmato da qualcun altro con una chiave pubblica che non gli appartiene, e quindi non essere lui il garante del documento. Piuttosto, Alice dovrebbe chiedere a qualcuno di sua fiducia di testimoniare sulla bontà della chiave pubblica di Bob.

I certificati digitali e le Autorità di Certificazione realizzano proprio questa testimonianza della associazione fra la chiave pubblica di Bob e l'identità di Bob. Le CA sono delle autorità fidate che garantiscono sulla autenticità delle chiavi pubbliche rilasciando i certificati digitali. Quindi, se Alice vuole verificare la firma su un documento dovrà rivolgersi alla CA di Bob e prelevare il suo certificato digitale, che contiene la chiave pubblica con la quale realizzare la verifica. In sostanza c'è bisogno di una terza persona fidata (in Inglese trusted third party) affinché due persone possano essere sicure della reciproca identità, e questa è proprio il ruolo della Certification Autority.

Attraverso le CA e le informazioni contenute nei certificati digitali emessi è possibile per l'utente trovare risposta a domande del tipo:

  • Questa chiave pubblica appartiene realmente al mittente del messaggio?
  • Per cosa può essere usata questa chiave pubblica?
  • Questa chiave era valida quando è stata usata per firmare questo documento?

Oggi le CA stanno assumendo un ruolo molto importante nel mondo della comunicazione di Internet soprattutto per quei servizi legati al commercio elettronico (e-commerce), i servizi di banca online (home Banking) ed anche alla posta elettronica, nei quali occorre essere certi dell'identità dell'interlocutore che si trova dall'altra parte del “cavo” e instaurare delle comunicazioni protette.

Nella pratica le Autorità di Certificazione sono aziende o organizzazioni strutturate in maniera gerarchica. Normalmente una CA rilascia un certificato per un'altra CA, che a sua volta rilascia certificati per nuove CA oppure direttamente ad altri utenti e così via. Si crea quindi una struttura ad albero fatta di relazioni di fiducia tra le diverse Certification Authority che la compongono. Questa organizzazione è nota come PKI ovvero Public Key Infrastructure, dato che la sua finalità è proprio quella di fornire una struttura articolata per la gestione e la verifica delle chiavi pubbliche delle entità che interagiscono in Internet.

Struttura di un certificato digitale
Un certificato digitale emesso da una CA non è altro che un documento elettronico organizzato secondo una struttura ben definita e regolamentata da uno standard internazionale chiamato X.509. Un certificato che rispetti tale standard ha numerose sezioni, chiamate attributi (oppure campi) nei quali sono contenute diverse informazioni di sicurezza relative all'utente e alla CA stessa che lo ha emesso. I principali campi di un certificato digitale organizzati secondo lo standard X.509 contengono:

  • l'algoritmo di cifratura usato per firmare il certificato;
  • il nome dell'autorità che lo ha emesso;
  • il periodo temporale di validità del certificato (data di inizio e data di fine);
  • un identificativo dell'utente proprietario della chiave pubblica;
  • la chiave pubblica;
  • gli scopi per i quali può essere usata la chiave pubblica;
  • la firma digitale realizzata con la chiave privata della CA su tutti i campi precedenti.

Questo ultimo campo, relativo alla firma digitale apposta dalla CA è l'elemento che attribuisce il carattere di credibilità all'intero certificato. Può essere verificato  utilizzando la chiave pubblica delle CA, cha  sua volta viene normalmente considerata sicura e fidata.
Il campo del periodo temporale di validità risulta essere importante poiché i certificati digitali, che  sono rilasciati a pagamento dalle CA, hanno una validità limitata nel tempo e sono quindi soggetti a scadenza.

I certificati digitali se compromessi o scaduti devono essere revocati. A tale proposito esistono delle liste di revoca dei certificati definite come CRL certificate revocation list, ovvero degli elenchi aggiornati periodicamente contenenti tutti i certificati da considerare non più validi, perché troppo vecchi oppure perché appartenenti a proprietari che hanno rivelato la propria chiave privata.